Cos'è ChocVM Ransomware?
Recentemente è emersa una nuova variante di ransomware denominata ChocVM, associata alla famiglia Makop. Questo software dannoso crittografa i file, altera gli sfondi del desktop, modifica i nomi dei file e lascia una richiesta di riscatto distintiva in un file denominato "+README-WARNING+.txt."
Table of Contents
Crittografia e ridenominazione dei file
ChocVM utilizza un approccio unico alla ridenominazione dei file aggiungendo una stringa di caratteri casuali, l'indirizzo email "xakep@dark-forum.ru" e l'estensione del file ".chocolate". Ad esempio, un file come "1.jpg" si trasforma in "1.jpg.[2AF20FA3].[xakep@dark-forum.ru].chocolate."
Panoramica della nota di riscatto ChocVM
La richiesta di riscatto lasciata da ChocVM chiarisce che i file della vittima sono stati crittografati senza alterarne la struttura. Per riottenere l'accesso ai propri file, le vittime sono tenute a pagare un riscatto. L'aggressore sottolinea che si tratta di un'operazione commerciale e non mostra alcuna preoccupazione per gli interessi della vittima. Viene fatta un'offerta particolare per decrittografare gratuitamente due piccoli file con estensioni semplici, fornendo informazioni di contatto tramite indirizzi e-mail: xakep@dark-forum.ru o hackr@dark-forum.ru.
La richiesta di riscatto è la seguente:
::: Greetings ChocVM :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailboxes: xakep@dark-forum.ru or hackr@dark-forum.ru.5.
D: Come procederà il processo di decrittazione dopo il pagamento?
R: Dopo il pagamento ti invieremo il nostro programma scanner-decodificatore e le istruzioni dettagliate per l'uso. Con questo programma sarai in grado di decrittografare tutti i tuoi file crittografati..6.
D: Se non voglio pagare le persone cattive come te?
R: Se non collabori con il nostro servizio, per noi non ha importanza. Ma perderai tempo e dati, perché solo noi abbiamo la chiave privata. In pratica, il tempo è molto più prezioso del denaro.:::ATTENZIONE:::
NON provare a modificare i file crittografati da solo!
Se provi a utilizzare software di terze parti per ripristinare i tuoi dati o soluzioni antivirus, esegui un backup di tutti i file crittografati!
Qualsiasi modifica ai file crittografati può comportare il danneggiamento della chiave privata e, di conseguenza, la perdita di tutti i dati.
Dettagli sul pagamento del riscatto
Dopo il pagamento, l'aggressore si impegna a fornire un programma di decrittazione insieme a istruzioni dettagliate per la decrittazione dei file. La nota mette esplicitamente in guardia contro tentativi di ripristino indipendente dei file, sostenendo che tali azioni potrebbero danneggiare la chiave privata e provocare una perdita irreversibile di dati.
Approfondimenti sulle minacce ransomware: una panoramica
Quando le persone cadono vittime di attacchi ransomware, sono costrette a pagare i criminali informatici per gli strumenti di decrittazione. In genere, le alternative includono la ricerca di strumenti di decrittazione gratuiti online o l'utilizzo di backup dei dati. Tuttavia, il pagamento di un riscatto è fortemente sconsigliato a causa delle incertezze riguardanti l'affidabilità dei criminali informatici nel fornire gli strumenti di decrittazione promessi.
Azione immediata contro il ransomware
Eliminare rapidamente il ransomware dai dispositivi compromessi è fondamentale, poiché il malware può avviare ulteriori crittografie e diffondersi attraverso le reti locali, portando alla crittografia dei file sui computer interconnessi.
Panorama dei ransomware
Gli attacchi ransomware possono variare nei metodi di consegna e negli obiettivi, ma rimane la costante richiesta di pagamento in cambio della decrittografia dei dati, della ridenominazione dei file e della presentazione di una richiesta di riscatto. Esempi di altre varianti di ransomware includono BO Team, Cdmx e Tprc.
Comprendere le infezioni da ransomware: cause e prevenzione
Metodi di infezione
Il ransomware spesso si infiltra nei sistemi tramite e-mail ingannevoli contenenti allegati o collegamenti dannosi. Gli utenti incauti potrebbero inavvertitamente avviare download ed esecuzioni facendo clic su questi collegamenti o aprendo allegati. I trojan sono un altro strumento utilizzato per fornire payload dannosi, incluso il ransomware. Gli autori delle minacce sfruttano anche canali come reti P2P, pubblicità dannose, vulnerabilità del software, software piratato e altro ancora.
Misure protettive
Per proteggersi dalle infezioni ransomware, si consiglia agli utenti di installare aggiornamenti regolari per il sistema operativo e le app installate. Utilizzare software antivirus o antimalware affidabili, prestare attenzione alle e-mail provenienti da fonti sconosciute, evitare siti Web rischiosi e astenersi dal scaricare file da fonti non attendibili sono misure preventive essenziali.
Affrontare l'infezione da ChocVM
Se un computer è già infetto da ChocVM, si consiglia di utilizzare un programma anti-malware per la rimozione automatica di questa minaccia ransomware.